Autor: Goran Račić, Voditelj korporativne komunikacije, Infigo IS
Incident response ili odgovor na incidente službeno se definira kao strateško-organizacijski odgovor na kibernetičke napade koji uključuje dogovorene planove, procedure i alate nakon što se dogodi incident. U stvarnom svijetu to je proces gdje ne znate tko ima viši tlak, tko roni suze i tko je u predinfarktnom stanju
Ljudi, bez obzira što vam kažu, nepopravljivi su optimisti. Svaki dan bezglavo se bacamo u potencijalno opasne situacije i sretno nastavljamo dan kao da se nikad nije ništa dogodilo. Zanemarujemo statistiku i rizik jer ružne stvari se događaju nekom drugom. Nekome o kome piše članak na portalu.
Izloženost kriminalu je nekako slična tome; da, u ovom dijelu svijeta svi smo žrtve gospodarskog i političkog kriminala, doslovno cijele nacije pate radi toga, no kriminal na osobnoj razini ne doživljavamo često. Malo nas, i neka tako i ostane, može reći da su bili žrtve pljačke, provale, krađe, onoga što osjetimo osobno.
Oni koji su se nažalost s time susreli kažu da itekako ostavi traga – kad vam npr. netko provali u kuću, u dom, osjećate se oskvrnjeno, izgubili ste onaj osjećaj sigurnosti koji vam je do onda pružao.
Mrtvo poslovanje
Teško je uspoređivati zlu kob, ne bismo ni trebali, ali pokušajte zamisliti situaciju kad se kriminal dogodi nekom biznisu. Ništa posebno veliko – recimo, 15-ak zaposlenih ljudi, neka proizvodnja, tvrtka koja je nadrasla svoju obrtničku povijest.
Kibernetički napad u jednoj sekundi sve strojeve učini beskorisnima jer su spojeni na neko računalo. Svi podaci s kojima su ti strojevi “napajani” su zaključani. Računovodstvo je mrtvo. Popis kupaca i narudžbi je nepostojeći. Svaka minuta mirovanja košta. A ona realizacija da ovo nije problem koji se može riješiti tjera tlak na 180.
To sve možete bez problema skalirati jer nije da se velikim organizacijama s puno novaca ovako nešto ne može dogoditi; dovoljno je samo prisjetiti se problema koji je INA imala 2020. nakon kibernetičkog napada.
Ekspres lonac
U takvu situaciju stiže incident responder – tu mislimo zapravo na jednog ili više “point” čovjeka i cijeli tim iza njih. Ako vam se incident response tim sastoji stvarno od jednog čovjeka, možda biste trebali razmisliti koga ste unajmili.
Njegov zadatak je napraviti identifikaciju problema, prikupiti dokaze, napraviti inicijalnu analizu, zauzdati napadača, izbrisati problem i onda osposobiti sustav natrag. Svaki od tih koraka je prepun zamki jer svaki sustav je drugačiji zbog suludo visoke kombinacije hardvera, softvera, konfiguracija i ljudi upletenih.
Responder želi prikupiti dokaze no netko je ugasio sva računala i sada se ne mogu prikupiti memory dumpovi. Svi garantiraju da su je na mreži točan broj uređaja, no ispada da ih je zapravo puno više. Dovoljno je samo jedan pametni uređaj spojen na mrežu koji baca u vodu sve pretpostavke temeljene na krivim izjavama. A kad pokušavate dokučiti da li je napadač još uvijek u vašem sustavu ili ne, to je itekako bitno – svaki put kad responder uvidi da ima krive podatke, određeni proces mora krenuti ispočetka.
Zato responder radi temeljitu analizu, provodi intervjue, prikuplja dokaze bez kontaminacije i hrani tim koji provodi analizu. U isto vrijeme ne smije se zaboraviti na onaj ljudski element jer kompletno poslovanje je blokirano. Sve ono što inače generira novac za plaće, za ljude koji tamo rade, stoji nepokretno, a to je izvor nevjerojatnog stresa za sve uključene.
Nemili događaji
Sad, događa li se to često? Nažalost, da, jako često. I nije to samo nešto što se događa u većim tržištima, gledamo li i Hrvatsku, to je svakodnevna pojava. Neki put se čuje u javnosti, ali većinom se sve obavi daleko od znatiželjnih očiju i uključena su samo tijela koja su potrebna zakonom.
Neke tvrtke smatraju da će im kibernetički napad srušiti ugled. Neke su i u pravu. Neke ne žele asocijaciju s bilo kakvim događajem koji bi mogao biti protumačen kao oblik slabosti. Nekima je to još jednostavno jedan vid rizika na koje su bile spremne.
Svaki incident ima na kraju svoj lessons learned – tvrtka koja mu je bila izložena dobiva lekcije koje su se izvukle iz napada kojima bi se trebalo onemogućiti sličan takav napad u budućnosti i podignuti opću kibernetičku spremnost. Bilo bi super kad bi se takve lekcije mogle puno lakše dijeliti – znate onu, bolje spriječiti nego liječiti – no kako je dosta toga obavijenog velom tajne, neki put to nije lako.
No postoji rješenje! Na .debugu, vašoj omiljenoj konferenciji, predaje Mato Vlajčić, glavni incident responder Infigo IS-a. Čovjek koji je proveo na incidentima nebrojene sate, spašavao tvrtke iz cijele Europe, nagledao se svega i svačega, ali se redovito vraćao podignute glave, pobjedničkog stava. On će ispričati kako incident response izgleda, pričati o stvarnim primjerima (dakako, anonimiziranim) te podijeliti neke mudrosti koje svakodnevno prosipa svojem incident response timu. Hard core tehničke stvari sačuvat će za neku drugu priliku jer sigurnosne lekcije moraju biti jasne svima, na kraju puno toga u svijetu sigurnosti počinje s najširim krugom ljudi.
